Массовый взлом osCommerce
В сети зафиксировано массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce.
🕛 05.08.2011, 02:46
24 июля было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней стабильной версии 2.3.1. Кроме того, в процессе атаки эксплуатируются еще как минимум три уязвимости в старой версии osCommerce 2.2, по прежнему активно используемой в сети.
Судя по анализу логов одного из взломанных интернет-магазинов атака производилась с нескольких украинских IP-адресов, код эксплоитов загружался с нескольких доменов в зоне "RU". После эксплуатации уязвимостей на страницы интернет-магазина внедряется несколько iframe-вставок и JavaScript-блоков с кодом для эксплуатации уязвимостей в клиентском ПО. Например, осуществляются попытки запуска вредоносного кода на машине клиента путем использования уязвимостей в Java, Adobe Reader, Windows Help Centre и Internet Explorer. На некоторые сайты, помимо изменения страниц, был внедрен бэкдор (web-shell), позволяющий организовать удаленный доступ к локальной файловой системе сервера и выполнение команд.
В сети уже зафиксированы факты успешной эксплуатации уязвимости и загрузки на сервер web-консоли "Alucar Shell". По предварительной оценке, основанной на выборке потенциально проблемных страниц через Google, уязвимости подвержено около 39 миллионов сайтов, использующих скрипт timthumb.php. Для взлома скрипт не обязательно должен быть задействован на сайте, достаточно наличия возможности прямого обращения к нему через web.